جداسازی شبکه از اینترنت | انواع و نقاط ضعف و قوت شبکه Air Gap
آموزش
بدون شک یکی از مهمترین مسیرهای هکرها برای نفوذ به شبکه سازمان شما، اینترنت است. با این حال، امروزه هر سازمانی برای انجام کارهای خودش به اینترنت وابسته است و نمیتوان اینترنت را به طور کلی از معادله حذف کرد. بنابراین، روشهایی برای جداسازی شبکه از اینترنت توسعه یافته است که در مجموع به این روشها، ایرگپینگ (air-gapping) گفته میشود. در این مقاله برای شما توضیح میدهیم که شبکه air gap دقیقا چیست و چه روشهایی برای ایجاد چنین شبکههایی وجود دارد. با سایبرنو همراه باشید.
عناوینی که در ادامه میخوانید:
چرا جداسازی شبکه از اینترنت اهمیت دارد؟
روشهای جداسازی شبکه از اینترنت کدامند؟
چالشها و نقطه ضعفهای شبکههای air gap چیست؟
حفاظت از شبکه Air Gap با کیوسک امن سایبرنو
شبکه Air gap چیست؟
شبکه air gap نوعی شبکه کامپیوتری است که به صورت سختافزاری یا نرمافزاری از شبکههای ناامن مثل شبکه عمومی اینترنت، جداسازی شده است. بنابراین، هیچ اتصال مستقیمی بین شبکه ایرگپ و شبکههای خارجی مثل اینترنت، وجود ندارد.
معمولا، جداسازی شبکه از اینترنت در سازمانهایی مثل سازمانهای نظامی، سیستمهای مالی، سازمانهای اطلاعاتی، سیستمهای کنترل صنعتی (ICS) و زیرساختهای حساس مثل نیروگاهها انجام میشود که نیازمند بالاترین سطح امنیت شبکه هستند. چنین سازمانهایی با جداسازی شبکه داخلی خود از اینترنت، سطح حمله (attack surface) را به طور قابل توجهی کاهش میدهند.
چرا جداسازی شبکه از اینترنت اهمیت دارد؟
شبکه air gap نقش بسیار مهمی در حفاظت از شبکه سازمانها در مقابل حملات سایبری دارد. از مهمترین دلایل اهمیت بالای جداسازی شبکه از اینترنت، به ویژه برای سازمانها میتوان به موارد زیر اشاره کرد:
۱- حفاظت در مقابل حملات از راه دور
از مزایای اصلی جداسازی شبکه از اینترنت میتوان به امنیت در مقابل حملات از راه دور اشاره کرد. از آنجایی که شبکه air gap به اینترنت متصل نیست، در مقابل حملات سایبری مثل حمله دیداس (DDoS)، حملات فیشینگ، اجرای کد از راه دور (remote code execution) و دیگر حملات مبتنی بر اینترنت، امنیت دارد.
۲- حفاظت از زیرساختهای حساس
با اینکه اتصال شبکه سازمانها به اینترنت میتواند خیلی از کارها مثل بروزرسانیهای نرمافزاری و جا به جایی دادهها را بسیار راحتتر کند اما شبکههای بعضی از زیرساختهای حساس مثل نیروگاهها، پالایشگاهها، سامانههای کنترل ترافیک جادهای، ریلی و هوایی و ... باید به منظور به حداقل رساندن سطح حمله، به طور کامل از اینترنت جداسازی شود زیرا هر حمله موفقی به این زیرساختها میتواند فاجعهبار باشد.
۳- حفاظت از دادههای حساس
سازمانهایی مثل سازمانهای اطلاعاتی، نظامی، دولتی، مالی و خدماتی که اطلاعات حساس را ذخیره میکنند، به شبکههای ایرگپ نیاز دارند. هر گونه نقض داده در چنین سازمانهایی میتواند مشکلاتی در سطح امنیت ملی یا مشکلات اقتصادی متعددی ایجاد کند و بنابراین، ضرورت دارد که چنین سازمانهایی نسبت به جداسازی شبکه از اینترنت اقدام کنند.
۴- محدودسازی تهدیدات داخلی
عوامل داخلی سازمانها مثل کارکنان ناراضی میتوانند از مهمترین تهدیدات علیه حفاظت اطلاعات در سازمانها باشند. همچنین، گاهی اوقات، ضعف در حفاظت فیزیکی میتواند راه نفوذ افراد متفرقه به سازمانها را باز کند. یکی از روشهایی که تهدیدات داخلی میتوانند اطلاعات حساس سازمان را به خارج از سازمان منتقل کنند، استفاده از شبکه اینترنت است. در صورتی که سازمانها، جداسازی شبکه از اینترنت را انجام دهند، این مسیر انتقال داده به خارج از سازمان برای تهدیدات داخلی، مسدود میشود.
روشهای جداسازی شبکه از اینترنت کدامند؟
دو روش کلی برای جداسازی شبکه از اینترنت و ایجاد شبکه air gap وجود دارد که به شرح زیر هستند:
۱- جداسازی کاملا فیزیکی شبکه از اینترنت
در این روش، شبکه داخلی سازمان، به طور کامل از شبکه اینترنت جدا میشود و هیچ دسترسی مستقیم یا غیر مستقیمی، چه به صورت سیمی و چه به صورت بیسیم، به شبکه اینترنت ندارد. در چنین شبکههایی، تنها میتوان از حافظههای قابل حمل مثل دستگاههای USB، لوحهای فشرده و ... برای انتقال دادهها به درون این سازمان یا خارج کردن دادهها از سازمان استفاده کرد. معمولا، از این روش در سازمانهایی مثل سازمانهای نظامی و اطلاعاتی، که نیازمند بالاترین سطح از امنیت شبکه هستند، استفاده میشود.
۲- جداسازی منطقی شبکه از اینترنت
در این روش به جای جداسازی فیزیکی، از روشهای منطقی و نرمافزاری بخشبندی شبکه (network segmentation) برای جداسازی شبکه از اینترنت و ایجاد شبکه air gap استفاده میشود. این روش در سازمانهایی به کار گرفته میشود که برای بعضی از کارهای خود، وابستگی شدیدی به اینترنت دارند و باید شبکه آنها تا حدی به اینترنت متصل باشد. برای مثال، شبکههای مالی که نیازمند تعامل با کاربران عمومی هستند، یا سازمانهایی که کارکنان دورکار دارند، باید از روشهای منطقی برای جداسازی شبکه از اینترنت استفاده کنند.
چالشها و نقطه ضعفهای شبکههای air gap چیست؟
با اینکه جداسازی شبکه از اینترنت، از سازمان شما در مقابل حملات مبتنی بر اینترنت محافظت میکند اما مشکلاتی نیز به همراه دارد و سبب آسیبپذیری در مقابل بعضی دیگر از انواع تهدیدات سایبری میشود. از مهمترین نقطه ضعفهای شبکه air gap میتوان به موارد زیر اشاره کرد:
۱- نیاز به بروزرسانی دستی
سیستمهای بدون اتصال به اینترنت نمیتوانند بهطور خودکار نرمافزارها را بهروزرسانی کنند. ادمین سیستم باید بهصورت دستی جدیدترین بهروزرسانیها را دانلود و نصب کنند. این کار نیاز به کار دستی بیشتری دارد و اگر مدیران سیستم در بهروزرسانیها بیتوجهی کنند، نرمافزارهای سیستمهای Air gap بهروز نمیمانند و سیستم در برابر بدافزارهای جدید آسیبپذیر خواهد بود.
در بسیاری از موارد، برای بروزرسانی سیستمها، از دستگاههای USB استفاده میشود که میتوانند بسیار خطرناک باشند. برای مثال، بسیاری از ادمینها، فایلهای بروزرسانی را با استفاده از حافظههای قابل حمل USB وارد سازمان میکنند تا سیستمهای شبکه air gap را بروزرسانی کنند. این کار سبب آسیبپذیری شبکه در مقابل تهدیدات USB میشود.
۲- وابستگی به دستگاههای USB برای انتقال دیگر دادهها
به غیر از فایلهای بروزرسانی، دیگر دادهها نیز برای ورود به شبکه air gap یا خروج از آن، نیازمند انتقال با دستگاههای حافظه قابل حمل، مثل دستگاههای USB هستند. همانطور که در بالا گفتیم، این دستگاهها میتوانند تهدیدی جدی برای سازمان شما محسوب شوند.
در واقع، یکی از اقدامات ضروری در امنیت شبکه، بستن پورت USB است. با این حال، در صورت جداسازی شبکه از اینترنت، برای انتقال اطلاعات به درون سازمان یا خروج اطلاعات از سازمان، باید پورتهای USB را حداقل به صورت موقت باز کنید که میتواند منجر به خطاهای انسانی، مثال فراموش کردن بستن مجدد پورتها شود.
در این صورت، پورتهای باز میتوانند فرصتی را برای تهدیدات داخلی یا افراد نفوذی به سازمان فراهم کنند تا اقداماتی مثل آلودهسازی شبکه با بدافزار یا سرقت اطلاعات حساس را انجام دهند.
۳- آسیبپذیری در مقابل شنود امواج الکترومغناطیسی
با اینکه شبکههای air gap در مقابل تهدیدات بر بستر اینترنت امن هستند اما مثل هر شبکه دیگری، از مقابل شنود امواج الکترومغناطیسی ساتعشونده از CPUها و کابلهای درون شبکه، آسیبپذیر هستند.
حفاظت از شبکه Air Gap با کیوسک امن سایبرنو
همانطور که گفتیم، جداسازی شبکه از اینترنت، سبب آسیبپذیری شبکه در مقابل تهدیدات USB و دیگر دستگاههای حافظه قابل حمل میشود. با این حال، روشی برای محافظت از شبکه air gap در مقابل این نوع تهدیدات وجود دارد که جریان امن اطلاعات به درون شبکه و به خارج از شبکه را تضمین میکند.
کیوسک امن سایبرنو مانند نگهبانی سایبری در ورودیها و خروجیهای سازمان شما نصب میشود و با اتصال به شبکه air gap شما، امکان انتقال امن اطلاعات به درون سازمان یا خروج امن اطلاعات از درون سازمان را فراهم میآورد.
کیوسک امن سایبرنو پکیجی سختافزاری-نرمافزاری است که با مجهز بودن به پویشگر چندموتوره سایبرنو، هر حافظه قابل حمل، شامل USB، لوح فشرده و ... را که به آن متصل شود، با بیش از ۳۰ موتور آنتی ویروس، پویش میکند.
برای مثال، اگر نیاز باشد که سیستمی را در شبکه air gap خود بروزرسانی کنید، میتوانید فایل بروزرسانی را با متصل کردن یک حافظه قابل حمل USB به کیوسک امن سایبرنو، وارد شبکه air gap خود کنید. کیوسک امن سایبرنو، پیش از ورود فایل بروزرسانی، آن را با بیش از ۳۰ موتور آنتی ویروس، اسکن میکند تا در صورت تشخیص هر نوع ویژگی مشکوک، جلوی ورود آن را به شبکه سازمان بگیرد.
فایل بروزرسانی، تنها زمانی مجوز ورود به شبکه air gap شما را پیدا میکند که سلامت آن توسط تمامی موتورهای آنتی ویروسی کیوسک امن سایبرنو، تأیید شود.
همچنین، اگر بخواهید اطلاعاتی را با استفاده از یک حافظه قابل حمل، از سازمان خارج کنید، کیوسک امن سایبرنو، با اسکن کردن اطلاعات، میتواند مانع از خروج هر گونه اطلاعات حساس (که توسط مدیر شبکه مشخص شدهاند) میشود.
با استفاده از کیوسک امن سایبرنو، میتوانید به راحتی، تمامی پورتهای USB سیستمها درون شبکه air gap خود را ببندید و هرگز نیازی به باز کردن پورتهای USB، حتی به صورت موقتی، نخواهید داشت.
بدین ترتیب، با قرار دادن کیوسک امن سایبرنو در ورودیها و خروجیهای سازمان خود و با متصل کردن آن به شبکه داخلی، میتوانید بدون نگرانی از مشکلات و تهدیدات ناشی از جداسازی شبکه از اینترنت، یک شبکه air gap بسیار امن داشته باشید.
